DarkTortilla é um malware crypter sofisticado e altamente configurável que oferece infostealers populares e trojans de acesso remoto, incluindo AgentTesla, AsyncRAT, Redline e NanoCore.
O que é a cripta DarkTortilla?
Um crypter é um tipo de software que tem a capacidade de criptografar, ofuscar, e manipular malwares. Essas manipulações tornam mais difícil para os programas de segurança detectar o malware. Criptógrafos são frequentemente implantados por operadores de malware para ajudá-los a contornar aplicativos antimalware e de segurança, sendo apresentados como programas inofensivos.
O crypter é escrito em .NET e existe pelo menos desde agosto 2015. DarkTortilla tem sido usado em campanhas de malware generalizadas, mas seus ataques mais recentes fornecem cargas úteis direcionadas, como Cobalt Strike e Metasploit. A descoberta vem da Secureworks Counter Threat Unit, que identificou várias amostras. “A partir de janeiro 2021 até maio 2022, uma média de 93 amostras exclusivas de DarkTortilla por semana foram carregadas no serviço de análise VirusTotal,”Disse o relatório.
Como as últimas campanhas do DarkTortilla são realizadas?
O método de distribuição principal é spam malicioso (malspam). não é de surpreender, os e-mails são projetados para induzir o destinatário a abrir a carga maliciosa, oculto em um anexo de arquivo com tipos de arquivo, incluindo .iso, .fecho eclair, .img, .dmg, e .tar. Os emails são personalizados de acordo com o idioma do alvo, e pode ser escrito em inglês, alemão, romena, espanhol, italiano, e búlgaro, como revelado pelas amostras detectadas.
O crypter consiste em dois componentes interconectados que permitem a entrega da carga útil: um executável baseado em .NET, qual é o carregador inicial, e uma DLL baseada em .NET, ou o processador central.
O ataque começa com a execução do carregador inicial que recupera o processador central codificado. Deve-se notar que o carregador inicial decodifica, cargas, e executa o processador central que então extrai, descriptografa, e analisa a configuração do malware.
Dependendo da configuração do DarkTortilla, o processador de núcleo é capaz do seguinte:
- Exibindo uma caixa de mensagem falsa
- Executando verificações de máquina antivirtual
- Executando verificações anti-sandbox
- Implementando persistência
- Migrando a execução para o diretório %TEMP% do Windows por meio do “Fundição” elemento de configuração
- Processando pacotes de complementos
- Migrando a execução para seu diretório de instalação
“Os pesquisadores geralmente ignoram o DarkTortilla e se concentram em sua principal carga útil. Contudo, DarkTortilla é capaz de evitar a detecção, é altamente configurável, e oferece uma ampla variedade de malwares populares e eficazes. Suas capacidades e prevalência o tornam uma ameaça formidável," Os pesquisadores concluiu.
Vale ressaltar que Cobalt Strike é descartado por várias peças de malware, Incluindo LockBit ransomware e pymafka.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: